问题标签 [aws-iam]

我在 Azure Web 应用程序中运行了具有托管服务标识的代码（基本上是已注册 Azure AD 应用程序的 client_id 和 client_secret）。

我在 Azure AD 中注册了一个企业应用程序，并在 AWS IAM 中注册了一个相应的身份提供者。从 Azure AD 到 AWS 的用户的交互式联合 SSO 工作正常。

但我希望我的 Web 应用程序使用其客户端凭证来执行非交互式 SSO，以最终获得 OAuth2 令牌或 SAML 断言，然后可用于对 AWS 的 API 调用。

这可能吗？

我的 API Gateway 配置为在授权请求时调用我的自定义授权方 Lambda 函数。

对于带有身份验证令牌的请求，Lambda 函数会解密和解码 JWT 令牌，并在将请求传递到上游之前进行一些验证。如果令牌验证失败，授权方会使用 401 Unauthorized 将请求短路。

对于不带有身份验证令牌的请求，该函数仅允许请求通过（生成允许策略）。网关的上游负责决定给定请求是否需要身份验证（仍然，令牌解密/解码/验证是合理地封装在网关中，而不是在每个上游中实现。）

我的问题是：对于我的网关/授权方“允许”的未经身份验证的请求，允许策略的主体 ID 的适当值是多少？我似乎没有选择离开它undefined。

此外，如果我在多个不相关的请求之间重复使用主体 ID，是否有任何风险？假设 X% 的请求共享'unauthenticated'主体 ID，作为最坏的例子，这些原本不相关的请求之间是否存在某种行为“冲突”的风险？也许一个规避风险/面向未来的解决方案是简单地附加一个 UUID 后缀：'unauthenticated|{uuid}'​​ .

https://docs.aws.amazon.com/apigateway/latest/developerguide/use-custom-authorizer.html

除了返回 IAM 策略外，自定义授权函数还必须返回调用者的委托人标识符。

我正在尝试使用以下 template.yml 添加 dynamodb 流

但是，我在部署阶段收到以下错误：

尝试 1

因此，我尝试通过将以下策略添加到我的 IAM CodeStarWorker-myproject-CloudFormation 来解决问题：

那没有用，仍然给我同样的错误

尝试 2

尝试在 template.yml 中使用策略而不是角色

但它给了我以下错误

尝试 3

在 template.yml 中指定角色

并将其分配给 MyFunc

但是，它也给了我同样的错误，表明我无权执行iam:CreateRole

有什么帮助吗？

我有一个具有不同阶段（prod和dev）的 API 网关，一个用于生产，另一个用于开发。

为了限制对prod阶段的访问和部署，我为开发用户设置了以下 IAM 策略，

6mvx7om366API ID在哪里。

这在控制台中显示了用户的prod阶段，但限制编辑它的任何配置。（对此感到高兴）

但是开发用户随后能够对prod阶段进行部署。我确实希望有一个类似的arn，

"arn:aws:apigateway:eu-central-1::/restapis/6mvx7om366/deployments/stages/dev"

不过好像没有。有什么解决方法吗？

我在正确配置 Lambda 以运行批处理作业时遇到问题。代码如下所示：

它在client.list_jobs(jobQueue=_job_queue)上失败，并出现以下错误：

“errorMessage”：“调用 ListJobs 操作时发生错误 (AccessDeniedException)：用户：arn:aws:sts::749340585813:assumed-role/myproject/dev-StartJobLambda-HZO22Z5IMTFB 无权执行：batch:ListJobs on resource : arn:aws:batch:us-west-2:749340585813:/v1/listjobs",

如果我将访问密钥添加到上面的 lambda，它工作正常。我认为这是因为我具有管理员访问权限，并且以我的用户身份进行身份验证为 lambda 提供了我的特权。

我的 lambda 定义如下所示：

还会创建以下角色和策略：

此外，还有一个角色可以让 lambda 在 VPC 上运行：

I am trying to create Lambda function using the below terraform script:

the zip file contains a single file:

index.js

The 'apply' phase runs for very long duration around 15mins and its still running. sometime it says timeout.

Sometimes the function gets created some time not however in any case the process takes so much of time.

Is this the way the lambda function creation works or am i missing something over here?

我想要做的是将 EC2 实例附加到 IAM 组，并让该组访问 CKM 中 S3 存储桶的密钥。

最好的方法是什么？

有一个附加到用户/角色的策略，允许创建其他策略和角色，但是，例如，原始角色没有权限做s3:PutObject。有什么办法可以阻止这个角色/用户创建另一个允许s3:PutObject并提升它自己的权限的策略？

当 API Gateway 尝试调用现有 Lambda 函数时，我们会遇到偶发性故障。与有关此错误的其他问题不同，这不是我在开始工作时遇到问题的新功能。这是一个现有的功能，几乎一个月没有改变，到位的权限/角色也没有改变。今天在世界标准时间 15:21 到 15:25 之间，我们有大约 10 个错误。API Gateway 日志为每个日志显示以下内容：

从那时起，lambda 和 API 网关一直在正常工作。

我验证了为函数定义的角色可以由 Lambda 根据为其建立的信任关系来承担，并且在 AWS Web 控制台的 IAM 中角色摘要的信任关系选项卡中可见。

知道什么可能导致这个问题吗？

我使用create_user_pool来创建新的 Cognito 用户池。我看到有一个SmsConfiguration选项需要一个ExternalId. 如果您使用 Cognito 门户为您的用户池设置 MFA，则此外部 ID（看起来像 UUID）将用于自动生成的 IAM SMS-Role。

ExternalId如果我想手动（使用 boto3 或 AWS CLI）创建用户池和 IAM SMS 角色，我在哪里可以找到/生成值？

我的 MFA 设置如下所示：